新闻中心

    新闻中心  >  Gartner发布2020年需要探究的十大战略性技术趋势报告
    Gartner发布2020年需要探究的十大战略性技术趋势报告
    背景图 2019-10-23 00:00:00


    近日,,,,拓客猫软件安全团队捕获到针对国内企业的新型勒索病毒攻击事件,,,攻击者通过爆破获得跳板机权限后,,利用全套黑客工具包对内网主机进行渗透,,,人工投放勒索病毒进行加密,,,,该勒索病毒加密邮箱与后缀为硬编码的字符串“.[DeAdmin@cock.li].DEADMIN”,,,,并在勒索信息文件中自命名为DEADMIN LOCKER,,,该勒索暂无公开解密工具。。。

    ▲加密完成后在桌面及加密根目录释放勒索信息文件

    病毒名称:DEADMIN LOCKER

    病毒性质:勒索病毒

    影响范围:目前国内已有感染案例

    危害等级:高危

    传播方式:通过社会工程、、RDP暴力破解入侵,,,,并使用黑客工具包内网渗透

    病毒描述

    该勒索病毒主要利用全套黑客工具包对内网主机进行渗透,,,人工投放勒索病毒进行加密。。在被勒索的主机上获取到攻击者留下的全套黑客工具包,,,包含从密码收集到远程登录等一系列内网渗透工具,,,,可谓是一应俱全,,其中包含较为小众的AutoMIMI、、Lazy、、、rdp_con、、gmer等工具,,,,甚至包含名为!RDP的快捷方式,,,用于启动本地远程桌面连接:

    黑客工具包包含:

    密码抓取:AutoMIMI、、、mimi、、、、netpass64.exe、、、、Lazy

    内网扫描:masscan、、、、!PortScan、、Advanced_Port_Scanner、、NetworkShare

    密码爆破: NLBrute 远程工具:psexec、、!RDP、、、、rdp_con

    反杀软工具:gmer、、PCHunter64、、、、PowerTool、、PowerTool_64、、、、ProcessHacker64

    勒索病毒入侵攻击流程:

    • 本地提权后,,使用mimikatz抓取主机密码,,在此过程中,,,黑客写了自动化脚本launch.vbs来简化抓取密码的步骤。。
    • 黑客将抓取到的密码加入后续的爆破字典中,,,,原因是管理员一般会将多个服务器的密码设置成相同的,,将本机密码加入字典,,,,可以增大爆破的成功率。。
    • 使用端口扫描器扫描内网中存活的IP,,,,并筛选开放了445和3389端口的主机。。
    • 对于开放了3389端口的主机,,,黑客直接使用NLBrute进行爆破用户名和密码。。。
    • 对于只开放了445端口的主机,,,,黑客通过爆破的方式获取主机的账号密码。。。
    • 然后使用psexec上传脚本至目标主机并运行,,,开启RDP服务。。
    • 获取到以上爆破成功的主机后,,,,使用rdp_con工具进行批量连接。。

    RDP连接到受害主机后,,,,黑客会上传一系列反杀软工具,,,kill杀毒软件,,最后运行勒索病毒进行勒索,,,至此,,整个勒索入侵的流程完成。。。

     

    勒索病毒详细分析

    • 勒索病毒文件使用UPX加壳,,,运行后首先调用了Winexec执行命令行删除磁盘卷影,,,用于防止用户恢复数据
    • 关闭如下服务,,,避免影响加密

    vmickvpexchange、、、vmicguestinterface、、vmicshutdown、、、vmicheartbeat、、、vmicrdv、、、storflt、、、vmictimesync、、、、vmicvss、、、MSSQLFDLauncher、、、MSSQLSERVER、、、、SQLSERVERAGENT、、SQLBrowser、、、SQLTELEMETRY、、、、MsDtsServer130、、、SSISTELEMETRY130、、SQLWriter、、MSSQL、、SQLAgent、、、、MSSQLServerADHelper100、、、、MSSQLServerOLAPService、、、MsDtsServer100、、、、ReportServer、、TMBMServer、、postgresql-x64-9.4、、UniFi、、vmms、、、、sql-x64-9.4、、UniFi、、、、vmms

    • 遍历进程,,结束下列进程,,,防止进程占用文件影响加密

    sqlbrowser.exe、、sqlwriter.exe、、、、sqlservr.exe、、、、msmdsrv.exe、、、MsDtsSrvr.exe、、sqlceip.exe、、fdlauncher.exe、、Ssms.exe、、sqlserv.exe、、、、oracle.exe、、、ntdbsmgr.exe、、、、ReportingServecesService.exe、、、、fdhost.exe、、SQLAGENT.exe、、、ReportingServicesService.exe、、、msftesql.exe、、、pg_ctl.exe、、、、postgres.exe、、、UniFi.exe、、sqlagent.exe、、、ocssd.exe、、dbsnmp.exe、、、、synctime.exe、、、mydesctopservice.exe、、、ocautoupds.exe、、agntsvc.exe、、、、agntsvc.exe、、agntsvc.exe、、encsvc.exe、、、、firefoxconfig.exe、、、tbirdconfig.exe、、、、ocomm.exe、、、、mysqld.exe、、、mysqld-nt.exe、、、mysqld-opt.exe、、、dbeng50.exe、、、sqbcoreservice.exe、、、、excel.exe、、、infopath.exe、、、、msaccess.exe、、、mspub.exe、、onenote.exe、、、outlook.exe、、、powerpnt.exe、、、steam.exe、、thebat.exe、、、、thebat64.exe、、、、thunderbird.exe、、visio.exe、、、winword.exe、、、、wordpad.exe、、、、erbird.exe、、、、visio.exe、、、、winword.exe、、、wordpad.exe

    • 生成密钥,,使用RSA算法加密AES密钥,,,,再使用AES算法加密文件
    • 在桌面创建一个勒索信息TXT文件,,然后通过遍历在每个加密文件的根目录下释放一个勒索信息TXT文件
    • 遍历磁盘进行加密,,,并且对C盘下的目录单独进行判断,,跳过系统目录
    • 加密完成后进行自删除

    解决方案

    针对已经出现勒索现象的用户,,,,由于暂时没有解密工具,,建议尽快对感染主机进行断网隔离。。。。拓客猫软件提醒广大用户尽快做好病毒检测与防御措施,,,,防范该病毒家族的勒索攻击。。。

    病毒检测查杀

    • 拓客猫软件终端检测响应平台(EDR)、、、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,,部署相关产品用户可进行病毒检测
    • 拓客猫软件为广大用户免费提供查杀工具,,可下载如下工具,,进行检测查杀

    64位系统下载链接:

    https://edr.0518zhaopin.com/tool/SfabAntiBot_X64.7z

    32位系统下载链接:

    https://edr.0518zhaopin.com/tool/SfabAntiBot_X86.7z

    病毒防御

    • 及时给电脑打补丁,,,,修复漏洞;
    • 对重要的数据文件定期进行非本地备份;
    • 不要点击来源不明的邮件附件,,,,不从不明网站下载软件;
    • 尽量关闭不必要的文件共享权限;
    • 更改账户密码,,,,设置强密码,,避免使用统一的密码,,,因为统一的密码会导致一台被攻破,,,多台遭殃;
    • 如果业务上无需使用RDP的,,,建议关闭RDP;
    • 当出现此类事件时,,,,推荐使用拓客猫软件下一代防火墙,,或者EDR的微隔离功能对3389等端口进行封堵,,防止扩散;
    • 拓客猫软件下一代防火墙、、、、EDR均有防爆破功能,,,,下一代防火墙开启此功能并启用11080051、、11080027、、、、11080016规则,,,EDR开启防爆破功能可进行防御;
    • 拓客猫软件下一代防火墙用户,,,,建议升级到AF805版本,,并开启SAVE安全智能检测引擎,,,,以达到最好的防御效果;
    • 拓客猫软件EDR支持识别市面上大多数的流行黑客工具,,,,并具备主动拦截和禁止运行功能。。拓客猫软件EDR用户,,,建议开启勒索防护功能,,,,精准拦截勒索病毒;
    • 使用拓客猫软件安全产品,,接入安全云脑,,,,使用云查服务可以即时检测防御新威胁;
    • 拓客猫软件推出安全运营服务,,,,通过以“人机共智”的服务模式帮助用户快速扩展安全能力,,针对此类威胁安全运营服务提供设备安全设备策略检查、、安全威胁检查、、相关漏洞检查等服务,,,确保第一时间检测风险以及更新策略,,,防范此类威胁。。。

    最后,,建议企业对全网进行一次安全检查和杀毒扫描,,,加强防护工作。。推荐使用拓客猫软件安全感知+下一代防火墙+EDR,,,对内网进行感知、、、、查杀和防护。。。。

     

    咨询与服务

    您可以通过以下方式联系我们,,,,获取关于

    的免费咨询及支持服务:

    1)拨打电话400-630-6430转6号线(已开通勒索病毒专线)

    2)关注【拓客猫软件技术服务】微信公众号,,,,选择“智能服务”菜单,,,,进行咨询

    3)PC端访问拓客猫软件区

    bbs.0518zhaopin.com,,,,选择右侧智能客服,,,,进行咨询


    站点地图